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PROCEDE ET DISPOSITIF DE LA VERIFICATION DE LA DETENTION D'UNE DONNEE CONFIDENTIELLE 
SANS COMMUNICATION DE CELLE-CI, SELON UN PROCESSUS DIT DE "A DIVULGATION NULLE". 

L'invention permet de proceder a une verification, par 
un verificateur (A, 2), de la detention d'au moins une donnee 
confidentielle (P (X); P 1 (X)... P t (X)) par un detenteur presu- 
me (B, 4), sans communication par ce dernier de la donnee 
confidentielle, conformement a un processus dit de 11 a divul- 
gation nulle ". 

A cette fin, il est prevu d'utiliser pour la donnee confiden- 
tielle au moins un premier polynome (P (X)), le detenteur 
presume (B, 4) transmettant au verificateur (A, 2) des don- 
nees (x, y) calculees en utilisantce polynome, la verification 
etant etablie sur la base d'une analyse de ces donnees met- 
tant en oeuvre au moins un deuxieme polynome (Q (X)) et 
d'un polynome compose Q (P (X)). 
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Procede et dispositif de la verification de la 
detention d'une donnee confident ielle sans 
communication de celle-ci, selon un processus dit de "a 

divulgation nulle". 

L 1 invention concerne la securisation electronique 
par code secret, par exemple pour des protocoles 
d' identification. Dans ce cadre, le code secret est 
typiquement attribue a une entite, designee ci-apres 

5 "detenteur", en tant que cle d'acces a une prestation 
d'un fournisseur. Cette cle est soumise a une 
verification par un systeme de securisation lie au 
fournisseur, qui conditionne l'acces a la prestation. 
Le processus de demande d' autorisation s'effectue par 

10 echange electronique entre le detenteur presume et le 
fournisseur . 

La figure 1 illustre tres schematiquement le cas 
general d'un ensemble compose d'une part d'un systeme 
de verification (verif icateur) 2 et d 1 autre part d'un 

15 detenteur presume 4. Le systeme 2 et le detenteur 
presume communiquent sur une liaison 6 qui peut etre 
locale ou distante (par reseau) , filaire, 
radioelectrique, infrarouge, etc. Dans 1' exemple, le 
detenteur presume 4 se trouve etre materialise par une 

20 carte a puce, le systeme de verification 2 etant un 
terminal avec lecteur de carte. Le code secret 
(designe par le terme "secret" dans ce qui suit) est 
alors contenu au sein d'une memoire de la carte 2. La 
verification de la validite du secret necessite un 

25 echange de messages sur la liaison 6 selon un protocole 
preetabli. La verification peut conditionner l'acces a 
un service ( telephonique, de reception de television a 
peage, de transaction bancaire ou commerciale) , ou a 
controler l'acces a un site, la transmission d'un 

30 dossier medical, 1 ' identification d'une personne, etc. 
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Dans une mise en oeuvre classique, le protocole 
prevoit la transmission du secret vers le terminal, 
eventuellement sous forme cryptee pour eviter des 
attaques durant 1 % echange * 
5 Cependant, il existe aussi des protocoles dits de 

"a divulgation nulle" (de 1' anglais "zero knowledge"), 
bases sur le fait qu'il est mathematiquement possible a 
un detenteur presume de prouver qu'il possede 
ef f ectivement un secret valable sans pour autant le 

10 communiquer au systeme de verification. II s'agit de 
protocoles de preuve de detection de secret sans 
divulgation ou de protocoles a divulgation nulle, Les 
protocoles Fiat-Shamir, Guillou-Quisquatter , "syndrome 
decoding", "permuted kernels problem", "constrained 

15 linear equations", etc. sont des exemples de tels 
protocoles de a divulgation nulle. Le principe repose 
sur un echange de questions et de reponses, provenant 
respectivement du systeme de securisation 2 et du 
detenteur presume 4. Le protocole d' identification est 

20 de nature asymetrique, en ce sens qu'il fait appel a 
des cles privees et publiques, la cle privee 
constituant le secret detenu au niveau du detenteur 
presume. Puisque le secret n'est jamais revele durant 
le protocole, il n'y a pas de risque qu'il soit 

25 approprie par un detenteur presume mal intentionne, ou 
une personne interceptant les messages echanges en vue 
de pouvoir se presenter comme le detenteur agree du 
secret . 

Si ces protocoles permettent une selection de 
30 parametrage, leur conception demeure relativement 
figee. Ceci est notamment le cas avec le protocole de 
Fiat et Shamir. 

Ainsi, un objet de 1' invention est de prevoir une 
securisation par verification basee sur un nouveau 
35 protocole de a divulgation nulle, permettant de 
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nombreuses possibilites de mise en oeuvre selon les 
applications envisagees . 

Plus particulierement, 1' invention propose, selon 
un premier objet, un procede de verification, par un 
5 verif icateur , de la detention d'au moins une donnee 
confidentielle P(X); Pi(X)„. P t (X) par un detenteur 
presume, sans communication par ce dernier de la donnee 
confidentielle, conf ormement a un processus dit de "a 
divulgation nulle 1 ' , 

10 caracterise en ce que 1 ' on utilise pour la donnee 

confidentielle au moins un premier polynome P(X), le 
detenteur presume transmettant au verif icateur des 
donnees calculees en utilisant ce polyn6me, la 
verification etant etablie sur la base d'une analyse de 

15 ces donnees mettant en oeuvre au moins un deuxieme 
polyndme Q(X) et d'un polynome compose S (X) = Q(P(X)), 
celui-ci etant compose du premier polynSme P(X) et du 
deuxieme polynome Q (X) . 

Avantageusement, a partir : 

20 - du premier polynome, soit P(X) d'une 

variable X, et 

- du deuxieme polynSme, soit Q(X) de la 
variable X, 

on definit un troisieme polynome compose S(X) = 
25 Q(P(X)), 

et on met en oeuvre au moins une sequence 
comprenant les etapes de : 

a) transmission, du detenteur presume au 
verif icateur, d'une premiere donnee (x) obtenue a 

30 partir du troisieme polynome S (X) pour le cas de la 
variable X = r, soit Q(P(r)), ou r est un nombre choisi 
arbitrairement par le detenteur presume ; 

b) transmission en reponse, du verif icateur au 
detenteur presume, d'une valeur d 1 invitation de preuve 

35 (b) , 
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c) transmission, du detenteur presume au 
verif icateur, d'une deuxieme donnee (y) calculee selon 
y = r si la valeur d' invitation de preuve b correspond 
a une premiere valeur et selon y = P(r)si la valeur 

5 d' invitation de preuve correspond a une seconde valeur, 
et 

d) verification, par le verif icateur, que la 
condition S (y) = x est satisfaite si la valeur 
d' invitation de preuve correspond a la premiere valeur, 

10 et que la condition Q(y) = x est satisfaite si la 
valeur d' invitation de preuve correspond a la seconde 
valeur, une verification positive a 1 ' etape d) 
accroissant le degre de confiance en la detention 
effective de la donnee secrete P(X) par le detenteur 

15 presume . 

Le procede peut §tre mis en ceuvre pour une 
verification portant sur une pluralite t de donnees 
conf identielles independantes, chacune definie par un 
premier polynome respectif , ou, a partir : 
20 - des premiers polynomes respectif s, soit Pi(X), 

P 2 (X), P 3 (X),..., P t (X) d'une variable X, et 

- du deuxieme polyndme, soit Q(X) de la variable 

X, 

on definit un troisieme ensemble de fonctions 
25 Si(X) pour i = 0 a t, soit : S 0 = Q(X), S X (X) = 
Q(P 1 (X)), S 2 (X) = Q(P X (P 2 (X) ) ) , S 3 (X) = Q(Pi(P 2 (P3(X) ) ) ) , 
M .S t (X) = Q(Pi(P 2 (P3(...Pt(X) ) ) ) ) , 

et on met en oeuvre au moins une sequence 
comprenant les etapes de : 
30 i) transmission, du detenteur presume au 

verif icateur, d'une premiere donnee (x) obtenue a 
partir de la fonction S t (X) pour le cas de la variable 
X = r, soit x = Q(Pi(P 2 (P3(.»Pt(r) ) ) ) } , ou r est une 
valeur aleatoire generee au niveau du detenteur 
35 presume; 
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- ii) transmission, du verificateur au detenteur, 
presume d'une designation arbitraire ou pas d'une ou 
plusieurs fonction(s) parmi un ensemble de fonctions Ei 
de variable X, soit : 

5 fonction E 0 : PI (P2 (P3 U(Pt (X) )♦..) ) , 

fonction E x : P2 (P3 (Jt (X) ...) ) , 
fonction E 2 : P3 (...Pt (X)~) 

fonction E t : X ; 

10 - iii) transmission, du detenteur presume au 

verificateur, d'une deuxieme donnee (yi) calculee selon 
la fonction designee Ei a l'etape precedente pour le 
cas de la variable X = r ou d'un nombre correspondant 
de valeurs yi, chacune etant obtenue a partir d'une 

15 fonction designee respective ; et 

- iv) verification, par le verificateur, que la 
condition Si(yi)= x est satisfaite pour chacune des 
valeurs correspondantes . 

De preference, on repete la sequence d'etapes i) 
20 a iv) au moins une fois, une fonction Ei etant designee 
arbitrairement a chaque repetition de sequence, 

Avantageusement, tous les polynomes (P(X), Q(X), 
S(X); Si(X), Ei(X)) sont definis modulo n, ou n est un 
nombre compose dif f icilement f actorisable . 
25 La donnee conf identielle peut §tre constitute 

d'un polynome P(X) d'ordre 2 (deux) ou superieur. 

Le deuxieme polynome (Q(X)) peut dtre un polynome 
d'ordre 2 (deux) ou superieur . 

Selon un deuxieme aspect, 1' invention concerne un 
30 dispositif de verification specif iquement adapte pour 
realiser le precede selon le premier objet. 

Selon un troisieme aspect, 1 ' invention concerne 
un dispositif detenteur d'au moins une donnee 
conf identielle specif iquement adapte pour realiser le 
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procede selon le premier aspect, ce dispositif pouvant 
etre une carte a puce. 

L 1 invention et les avantages qui en decoulent 
seront mieux compris par la description qui suit des 
5 modes de realisation preferes, donnes purement a titre 
d'exemple non-limitatif , par reference aux dessins en 
annexe, dans lesquels : 

la figure 1, deja decrite, est un schema 
general simplifie d'un ensemble constitue d'un systeme 
10 de securisation et d'un detenteur presume, avec echange 
de donnees de verification de secret ; 

- la figure 2 est un organigramme du deroulement 
d'un procede de verification entre un terminal et une 
carte selon un protocole de a divulgation nulle 

15 conforme a un premier mode de realisation de 
1 ' invention ; et 

- la figure 3 est un organigramme du deroulement 
d'un procede de verification entre un terminal et une 
carte selon un protocole de a divulgation nulle 

20 conforme a un second mode de realisation de 
1 ' invention . 

La securite du protocole de verification a 
divulgation nulle selon 1 1 invention repose sur le 
probleme suivant. Soient deux polynomes P(X) et Q(X), 

25 on peut facilement calculer le polynome compose S (X) = 
Q(P(X)). Mais, etant donnes Q(X) et S(X), il est 
difficile trouver P(X. Dans ce qui suit, tous les 
calculs sont realises en arithmetique modulo n, ou n 
est un nombre compose. A titre d'exemple, le nombre n 

30 peut §tre le produit de deux nombres premiers p et q, 
soit n=p.q. Le secret, dont la connaissance est a 
prouver par le detenteur, est le polynSme P (X) . 

Dans ce qui suit, on designe par A le detenteur 
du secret P(X) (detenteur presume), et par B le 

35 verificateur du fait que A connaisse ef f ectivement le 
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secret P(X). "A" peut etre une carte a puce 4 ou 
analogue, et "B" le systeme de securisation 2, pour 
reprendre 1 ' exemple de la figure 1. Ainsi, 
conf ormement au protocole "a divulgation nulle", A doit 
5 prouver a B qu'il detient le secret P(X) sans le lui 
reveler. 

La figure 2 illustre un exemple du deroulement 
d'un protocole de verification "a divulgation nulle" 
conforme a l 1 invention, applique a l f ensemble de la 
10 figure 1. 

Au prealable, le detenteur presume A du secret 
P(X), soit la carte 4, contient dans sa memoire les 
parametres suivants : 

- un polynome P(X) , qui constitue un parametre 
15 prive, soit le secret. On note que le parametre prive 

qui constitue le secret est le polynome P(X) qui est le 
polynome difficile a trouver selon le pr obi erne enonce 
ci-dessus , 

- une f onction polynomiale S (X) def inie par : 
20 S(X) = Q(P(X) ) , et 

- un module n dif f icilement f actorisable, par 
exemple de type RSA. 

La f onction S(X) s'obtient directement par calcul 
a partir des polynfimes P(X) et Q(X) . A titre 
25 illustratif, donne ici seulement pour comprendre ce 
mode de calcul, si Q{X) = aX 2 + bX + c et P{X) = uiX + 
Uo/ alors : 

S(X)= a(uiX + u 0 ) 2 + b(uiX + u 0 ) + c 

= a(ui 2 X 2 + u 0 2 + 2uiu 0 X) + uibX + u 0 b + c 
30 = aui 2 X 2 + (2auiu 0 + uib)X + au 0 2 + u 0 b + c 

:= s 2 X 2 + SiX + s 0 
Les coefficients des polynSmes a, b, c, ul et uO, 
ainsi que S2, s± et s 0 sont des valeurs connues par la 
carte, Cependant, pour reduire le nombre d ' arguments a 
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stocker, la carte pent ne pas contenir les parametres 
relatifs a Q(X), c'est-a-dire a, b et c . 

Q(X) et P(X) sont des polynomes en X de degre p 
et q. lis sont reduits modulo n, c'est-a-dire que 
5 leurs coefficients sont reduits modulo n. A titre 
d' exemple, 

pour P(X) =2 i=0 a P aiX 1 = a 0 + aiX + a 2 X 2 + a 3 X 3 + 
..♦"^* apX^ , 

P(X) mod n = (E i=0 a p aiX 1 ) mod n 

10 = £ i=0 a p (ai mod n)X\ 

De son cote, le systeme B de verification 
(verif icateur) de la connaissance du secret, soit le 
terminal 2 , contient dans sa memoire les memes 
parametres que ceux stockes par la carte, hormis le 

15 secret P(X), a savoir : Q(X), S(X) = Q(P(X)) et n. 

En debut de protocole, il s'opere un echange de 
signaux entre le terminal 2 et la carte 4 pour etablir 
1 ' initialisation du processus (etape E2). Durant cette 
phase, une serie de routines est installee pour fixer 

20 les conditions de verification. 

Le processus de verification "a divulgation 
nulle" debute alors par le tirage d*un nombre aleatoire 
r au niveau de la carte 4 (etape E4) . Ce nombre r est 
produit par des algorithmes quelconques. A partir de 

25 ce nombre r, la carte calcule une valeur x donnee par 
la fonction S (X) mod n, pour X = r, soit x = Q(P(r)) 
mod n. La carte envoie cette valeur de x au terminal 2 
(etape E8) , ou elle y est receptionnee (etape E10) . 

Ensuite, le terminal produit un bit b dit 

30 d 1 interrogation ou d 1 invitation de preuve (etape E12) . 
Dans 1' exemple, les probabilites de b = 1 et b = 0 sont 
egales. Ce bit b est transmis a la carte (etape E14) , 
ou elle constitue la partie "question" selon l'aspect 
question-reponse du protocole a divulgation nulle. 
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La carte receptionne le bit b (etape E16) et 
produit en reponse une valeur y en f one t ion de la 
valeur de ce bit, comme suit (etape El 8) : 

- si b = 0 ; y = r ; 

5 - si b = 1, y = P(r), c'est-&-dire la valeur 

rendue par le polynSme secret P(X) pour X = r. 

Ensuite, la carte 4 envoie la valeur y au 
terminal 2 (etape E20) , ou elle est y receptionnee 
(etape E22) . La valeur de b conditionne la nature de 
10 la verification effectuee par le terminal 2, comme suit 
(etape E24) : 

- si b = 0, le terminal verifie que S(y) = 
Q(P(y) ) = x ; 

- si b = 1, le terminal verifie que Q(y) = x. Les 
15 etapes precedantes impliquees dans les trois series 

d'echanges, en commengant par 1 ' etape E4 de generation 
d'un nombre aleatoire, doivent §tre iterees plusieurs 
fois afin de garantir un degre de confiance suffisant, 
chaque nouvelle iteration permettant de se rapprocher 

20 du niveau de confiance souhaite. 

En revanche, il suffit qu'une seule instance de 
la verification a 1' etape E24 soit non satisfaite pour 
permettre de constater que la carte 2 ne detient pas le 
secret P(X) . Dans le cas d'un tel constat, le terminal 

25 initie une routine d* interruption de la procedure de 
verification pour cause d'echec, et declenche une 
alerte adaptee aux circonstances (etape E26) . 

Lorsque la condition a verifier satisfaite a 
1 ' etape E24, la procedure entame une iteration du 

30 processus a partir de 1 1 etape E4 afin de pouvoir 
renforcer le degre de confiance. 

Le protocole de verification conforme a 
1 ' invention est tres sur, permettant d ! obtenir des 
degres de confiance C arbitral rement proches del. En 

35 effet, a supposer que les polyndmes P(X) et Q(X) soient 
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bien choisis, pour S(X) = Q(P(X)) donne modulo n, le 
probleme de retrouver P (X) a partir de S (X) et de Q (X) 
est suppose difficile. 

II n'existe pas de regies generales de selection 
5 des polynomes P(X) et Q(X). On choisira de mani&re 
empirique des polynSmes qui soient suffisamment 
complexes pour ne pas permettre de deduire aisement la 
valeur du secret. Avantageusement , au mo ins l'un de 
ces polyn6mes doit etre de degre 2 ou superieur. 

10 L ■ utilisation du modulus n pour exprimer x 

implique que tous les coefficients des polynomes 
doivent etre reduits par ce modulus, ce qui renforce la 
difficulte du probleme de trouver P(X) a partir de 
Q(P(X) ) et de S(X) . 

15 A titre indicatif, d'excellents resultats sont 

obtenus en termes de securite et de consommation de 
ressources avec le choix suivant de polyn6mes : 

P(X) = u 2 X 2 + Ul X + u 0 , et Q(X) = aX 2 + bX + c 
S(X) = c 4 X 4 4- C3X 3 + c 2 X 2 + CiX + c 0 , ou les coefficients 

20 a, b, c et c 4/ c 3 , c 2/ Ci et c 0 sont connus . 

Le probleme de trouver P(X) a partir de Q(X) et 
de S (X) est alors equivalent a determiner une racine 
carree en modulo n. 

II sera maintenant decrit une generalisation du 

25 mode de realisation selon laquelle on utilise un nombre 
arbitraire t de cles privees . Cette disposition permet 
notamment de reduire le nombre d'echanges entre le 
fournisseur (terminal 2) et le detenteur presume (carte 
4), notamment en s 1 af f ranchissant des iterations 

30 precitees, ou tout au moins en reduisant leur nombre. 
L'approche consiste a utiliser dans le processus de 
verification plusieurs cles publiques et un nombre 
correspondant de cles privees, stockees respectivement 
au niveau du terminal 2 et de la carte 4 . Cette 

35 approche s'inscrit dans un cadre general de mise en 
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oeuvre, avec utilisation d'un nombre t de cles prives 
Pi(X), P 2 (X), P 3 (X), P t (X) associees a t cles 

publiques respectives, celles-ci etant : 

Si(X) = Q(Pi(X)) # 
5 S 2 (X) = Q(Pi(P 2 (X) ) ) ) , 

S 3 (X) = Q(Pi(P 2 (P 3 (X)))) 

S t (X) = Q(Pi(P 2 (P 3 UPt(X))))) . 

Dans ce qui suit, tous les polyn6mes sont reduits 
10 modulo n, comme dans le cas precedent ; ce fait ne sera 
pas repete systematiquement par souci de concision. 

Lors d'une verification, le terminal 2 et la 
carte 4 entament un processus d'echange de donnees 
preliminaires pour 1 1 initialisation du protocole (etape 
15 E2), a l 1 ins tar du mode de realisation de la figure 2. 

Ensuite, la carte 4 produit un nombre aleatoire r 
(etape E4), calcule a partir de ce nombre une valeur x 
= Q(Pi(P 2 (P 3 U(P t (r) ) ) )...) (etape E30), et la transmet au 
terminal 2 (etape E32) . 
20 En reponse, le terminal produit un nombre 

aleatoire b dans un domaine d' equiprobabilite Oat 
compris (etape E34) et le transmet a la carte 4 (etape 
E36) . 

En fonction du nombre b, la carte calcule la 
25 valeur y if selectionnee selon la valeur de b, (etape 
E38) . 

Plus particulierement, la valeur y± est 
determinee comme suit : 

si b = 0, y 0 = Pi (P 2 (P 3 (...(P t (r )...))) , 
3 0 si b = 1, Yl = P 2 (P 3 (P t (r )...)) , 

si b = 2, y 2 = P 3 U(P t (r)...), 

si b = t, y = r. 
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On remarque que les reponses y± de la carte en 
fonction de la valeur de b envoy e par le terminal sont 
basees sur les cles publiques 

Si(X) f S 2 (X), S 3 (X), S4(X), „, St(X) 
5 La valeur yi requise ainsi calculee est transmise 

au terminal (etape E40) . 

A la reception de cette valeur yi, le terminal 
procede a une verification en fonction de la valeur de 
b (etape E42) : 
10 si b = 0, verification de la condition Q(yo) = x 

si b = 1, verification de la condition Si(yi) = x 

si b = 2, verification de la condition S 2 (y2) = x 

15 si b = t, verification de la condition S t (yt) = x 

Si la condition a verifier a 1 ' etape E42 est 
satisfaite, on peut supposer (etape E44) avec un 
certain degre de confiance que le detenteur presume a 
prouve qu'il detient le secret. Dans le cas contraire, 

20 on suppose que la preuve demandee n'a pas ete fournie 
pour des raisons suspectes, et la communication avec la 
carte 4 est interrompue, eventuellement accompagne 
d'une procedure d'alerte. 

Si le nornbre t de cles utilisees dans la 

25 procedure ne pentiet pas d^btenir un degre de confiance 
suffisant, il est bien entendu envisageable de realiser 
une ou plusieurs iterations a partir de 1 1 etape E4 . 

Selon une variante du mode de realisation de la 
figure 3, le terminal 2 transmet a 1' etape E3 6 non pas 

30 une, mais plusieurs valeurs de b, chacune choisie de 
maniere aleatoire . 

La carte 4 calcule alors a 1 ' etape E3 8 une valeur 
yi en fonction de chacune des valeurs de b regues, sur 
les m§mes bases que pour le calcul de y± decrit par 

35 reference a la figure 3 , et les transmet au terminal . 
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Le terminal analyse chacune des valeurs yi ainsi 
regues pour determiner si elles satisfont les 
conditions enoncees supra dans le cadre de 1 ' etape E42 . 

On comprendra que cette variante permet a la 
carte de detenir plusieurs secrets. Le terminal peut 
alors verifier la connaissance de ces secrets en une 
seule serie d' operations, par exemple, lors d'une 
verification simultanee de plusieurs mots de passe ou 
de codes d' authentif ication. 

L' invention n'est pas limitee aux cartes ou a des 
dispositifs portatifs, trouvant application dans tout 
systeme de communication faisant appel a une 
identification confidentiel : verification de mot passe 
entre un utilisateur et son ordinateur, son v^hicule, 
materiel prof essionnel , telephone mobile, ou autre 
equipement personnalise, etc. 
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REVINDICATIONS 

1, Procede de verification, par un verificateur 
(B,2), de la detention d'au moins une donnee 
conf identielle (P(X); Pi(X)„. P t (X)) par un detenteur 
presume (A,4)), sans communication par ce dernier de la 
donnee conf identielle, conformement a un processus dit 
de "a divulgation nulle" , 

caracterise en ce que l'on utilise pour la donnee 
conf identielle au moins un premier polynome (P(X)), le 
detenteur presume (A, 4)) transmettant au verificateur 
(B,2) des donnees (x, y; yi) calculees en utilisant ce 
polynome, la verification etant etablie sur la base 
d'une analyse de ces donnees mettant en oeuvre au moins 
un deuxieme polynome Q(X) et d'un polynome compose S(X) 
= Q(P(X)) / celui-ci etant compose du premier polynome 
P(X) et du deuxieme polynome Q(X). 

2. Procede selon la revendication 1, caracterise 
en ce que, a partir : 

- dudit premier polynome, soit P(X) d'une 
20 variable X, et 

- dudit deuxieme polynome, soit Q(X) de la 
variable X, 

on definit un troisieme polynSme compose S(X) = 
Q(P(X) ) , 

25 et en ce qu'il met en oeuvre au moins une sequence 

comprenant les Stapes de : 

a) transmission, du detenteur presume (A, 4) au 

verificateur (B,2), d'une premiere donnee (x) obtenue a 

partir dudit troisieme polynome S(X) pour le cas de la 
30 variable X = r, soit Q(P(r)), ou r est un nombre choisi 

arbitrairement par le detenteur presume ; 
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b) transmission en reponse, du verificateur (B,2) 
au detenteur presume, d'une valeur d' invitation de 
preuve (b) , 

c) transmission, du detenteur presume au 
verificateur, d'une deuxieme donnee (y) calculee selon 
y = r si la valeur d' invitation de preuve b correspond 
a une premiere valeur et selon y = P(r)si la valeur 
d 1 invitation de preuve correspond a une seconde valeur, 
et 

d) verification, par le verificateur, que la 
condition S (y) = x est satisf aite si la valeur 
d' invitation de preuve correspond a la premiere valeur, 
et que la condition Q(y) = x est satisf aite si la 
valeur d' invitation de preuve correspond a la seconde 
valeur, une verification positive a l'etape d) 
accroissant le degre de confiance en la detention 
effective de la donnee secrete P(X) par le detenteur 
presume (A, 4) . 

20 3. Precede selon la revendication 1, caracterise 

en ce qu'il est mis en ceuvre pour une verification 
portant sur une pluralite t de donnees conf identielles 
independantes, chacune definie par un premier polynSme 
respectif , caracterise en ce que, a partir : 

25 - desdits premiers polynomes respectif s, soit 

Pi(X), P 2 (X), P 3 (X),„., P t (X) d'une variable X, et 

dudit deuxieme polynome, soit Q(X) de la 
variable X, 

on definit un troisieme ensemble de fonctions 
30 Si(X) pour i = 0 a t, soit : S 0 = Q(X), Si (X) = 
Q(Pi(X)), S 2 (X) = Q(Pi(P 2 (X))), S 3 (X) = Q(P 1 (P 2 (P 3 (X) ) ) ) , 
...S t (X) = Q(Pi(P 2 (P 3 (...Pt(X) ) ) ) ) , 

et ce que 1 1 on met en ceuvre au moins une sequence 
comprenant les etapes de : 
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- i) transmission, du detenteur presume (A, 4) au 
verificateur (B,2), d'une premiere donnee (x) obtenue a 
partir de la fonction S t (X) pour le cas de la variable 
X = r, soit x = Q(Pi(P 2 (P 3 (...Pt(r) ) ) ) ) , ou r est une 

5 valeur aleatoire generee au niveau du detenteur presume 
(B,4) ; 

- ii) transmission, du verificateur au detenteur, 
presume d'une designation arbitraire ou pas d'une ou 
plusieurs fonction (s) parmi un ensemble de fonctions Ei 

10 de variable X, soit : 

fonction E 0 : PI (P2 (P3 U (Pt (X) )„.)) , 
fonction Ei : P2 (P3 (..Pt (X) ...) ) , 
fonction E 2 : P3 (...Pt (X) ...) 

15 fonction E t : X ; 

iii) transmission, du detenteur presume au 
verificateur, d'une deuxieme donnee (yi) calculee selon 
la fonction designee Ei a 1 1 etape precedante pour le 
cas de la variable X = r ou d'un nombre correspondant 

20 de valeurs yi, chacune etant obtenue a partir d'une 
fonction designee respective ; et 

- iv) verification, par le verificateur, que la 
condition S±(yi)= x est satisfaite pour chacune 
desdites valeurs correspondantes . 

25 

4. Procede selon la revendication 3, caracterise 
en ce que ladite sequence d'etapes i) a iv) est repetee 
au moins une fois, une fonction Ei etant designee 
arbitrairement a chaque repetition de sequence. 

30 

5. Procede selon I'une quelconque des 
revendications 1 a 4, caracterise en ce que tous les 
polynomes (P(X), Q(X), S(X); Si(X), E ± {X)) sont definis 
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modulo n, ou n est un nombre compose dif f icilement 
f actorisable . 

6. Procede selon l'une quelconque des 
5 revendications 1 a 5, caracterise en ce que la donnee 

confidentielle est constitute d'un polynome P (X) 
d ! ordre 2 (deux) ou superieur. 

7. Procede selon l'une quelconque des 
10 revendications 1 a 6, caracterise en ce que ledit 

deuxieme polynome (Q(X)) et un polynome d T ordre 2 
( deux ) ou superieur . 

8. Dispositif de verification (B,2) permettant 
15 de verifier la detention d' au moins une donnee 

confidentielle (P(X), Pi(X), . .., P t (X) par un 
detenteur presume (A, 4), sans communication par ce 
dernier de la donnee confidentielle, conformement a un 
processus dit de « divulgation nulle » 
20 caracterise en ce qu' il est prevu pour realiser 

le procede de verification selon l'une quelconque des 
revendications 1 a 1, le dispositif (B,2) comportant : 

- des moyens de reception desdites donnees (x f y, 
y ± ) calculees par le detenteur presume (A, 4 ) , 

25 - des moyens de stockage dudit polynome compose 

S(X) = Q(P(X)) , et 

- des moyens d' analyse desdites donnees regues 
mettant en oeuvre ledit polynome compose 
(S(X) - Q(P(X) ) . 

30 

9. Dispositif (A r 4) detenteur d'au moins une 
donnee confidentielle sujette a une verification par un 
verificateur (B f 2) sans qu'elle soit communiquee a ce 
dernier, conformement a un processus dit de 

35 « divulgation nulle », 
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caracterise en ce qu'il est prevu pour realiser 
le procede de verification selon 1'une quelconque des 
revendications 1 a 7, le dispositif (A, 4) comportant : 

- des moyens de stockage dudit premier polynome 
5 P(X), et 

- des moyens de calcul mettant en oeuvre ledit 
premier polyndme pour produire lesdites donnees 
calculees <x, y r y±) , et 

- des moyens de transmission desdites donnees 
10 calculees au verificateur (B,2). 

10. Dispositif selon la revendication 9, 

caracterise en ce qu'il s'agit d'une carte a puce (4). 
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